@Lemon
3年前 提问
1个回答
如何防止被拿到 webshell
delay
3年前
- 如果不使用,请禁用潜在危险的PHP函数,如exec()、shell_exec()、passthu()、system()、show_source()、proc_open()、pcntl_exec()、eval()和assert()。
- 如果绝对需要启用这些命令,请确保未经授权的用户不能访问这些脚本。此外,使用
escapeshellarg()和escapeshellcmd()确保不能将用户输入注入到Shell命令中,从而导致命令执行漏洞。 - 如果您的Web应用程序正在使用上传表单,请确保它们是安全的,并且只允许上传白名单文件类型。
- 永远不要相信用户输入。
- 不要盲目使用在线论坛或网站上可能找到的代码。
- 对于WordPress,如果不需要,请尝试避免安装第三方插件。如果您需要使用插件,请确保其信誉良好且经常更新。
- 在敏感目录(例如图片或上传文件)中禁用PHP执行。
- 锁定Web服务器用户权限。